Als Anfang Jänner eine Reihe von grundlegenden Fehlern im Design aktueller Prozessoren bekannt wurde, sorgte dies nicht nur für einige Aufregung, es bescherte den Softwareherstellern weltweit auch jede Menge Mehrarbeit. In vielen Fällen dauerte es Monate, bis Updates zum Schutz verfügbar waren, zum Teil scheint man das Problem aber auch ein halbes Jahre später noch immer nicht komplett im Griff zu haben.

Angriffe

Die Sicherheitsforscher von Aleph Security demonstrieren, dass die meisten großen Browser weiterhin gegen Spectre v1 anfällig sind. Die bisher gelieferten Patches würden zwar Angriffe erheblich langsamer machen, ein kompletter Schutz ist aber bislang nicht gegeben. Mit einer Ausnahme: Firefox hat die Auflösung des internen Timers auf 2 Millisekunden reduziert, womit reale Attacken nicht mehr durchführbar sind.

Bei Chrome, Edge und Safari lassen sich hingegen weiterhin Daten von anderen Webseiten abgreifen, auch wenn die Geschwindigkeit hier mit 1 Byte pro Sekunden äußert gemächlich ist. Prinzipiell kann Spectre v1 dazu genutzt werden, um sensible Daten wie Cookies oder Passwörter von anderen offenen Tabs und Webseiten auszulesen.

Workaround statt Lösung

Die Sicherheitsforscher betonen dabei, dass es ihnen mit der Demonstration weniger um das Aufzeigen einer wirklich praktikablen Attacke geht, als darum, auf ein grundlegendes Problem hinzuweisen. Und dieses heißt: All die Methoden zu denen die Browserhersteller gegriffen haben, sind schlichte Workarounds aber keine richtige Lösung. Sie sind darauf ausgelegt, Attacken so zu verlangsamen, dass sie nicht mehr realistisch sind, gehen das Problem aber nicht an der Wurzel an. Dies könne nur durch eine strikte Isolation aller Webseiten voneinander sowie durch andere Maßnahmen erzielt werden – oder durch neue Hardware.

Zumindest an ersterem arbeiten die Chrome-Entwickler derzeit bereits, die Strict Site Isolation lässt sich bei aktuellen Ausgaben des Browsers bereits über eine versteckte Einstellung aktivieren. Dies erhöht zwar die Sicherheit, hat aber auch den Nachteil, dass der Speicherverbrauch des Browsers steigt. (apo, 1.7.2018)